Una empresa demandó a un banco por daños y perjuicios luego de ser víctima de una maniobra de ciberdelincuentes que sustrajeron los fondos de la cuenta corporativa, y pidió que se apliquen daños punitivos.
En el resumen de la historia, el actor manifiesta que estaba intentando hacer una transferencia a un proveedor cuando el homebanking empezó a dar errores, primero aparecía el numero PI entre los dígitos del CBU, luego un cartel que alegaba que se estaba autenticando el certificado digital.
Posteriormente el sistema le pedía códigos que se enviaban al celular para continuar sin que “el cartel” desaparezca por lo cual llamó al banco que le indicó que “no se reportaban problemas” derivándolo al servicio técnico, donde a su vez le dijeron que “era un intento de fraude”.
Desde esta oficina “quedaron en comunicarse”, pero no resolvieron el problema que persistía pese inclusive a “apagar y prender la computadora”. Cuando finalmente pudo acceder la cuenta corriente tenía saldo negativo por 1 millón de pesos, cuando originalmente tenía casi 8 millones.
Explicaron que se hizo una denuncia penal, y que se reclamó al banco sin resultados, por lo cual finalmente decidieron iniciar la demanda.
Fue entonces que se abrió el expediente “Q. S.R.L C/ Banco Supervielle S.A S/ Daños Y Perj. Incump. Contractual (Exc. Estado)”, donde la entidad demandada cuestionó que se aplicara la normativa de consumidor a la sociedad actora y pidió el rechazó de la demanda culpando a la actora de negligencia.
Lo novedoso del caso, radicó en la aplicación de la normativa consumeril… ya que no había “profesionalidad por parte de la sociedad accionante en el rubro en cuestión en tanto no tiene o debería tener un conocimiento especial de esa actividad bancaria, lo que configura en el caso la asimetría negocial en lo que a información se refiere y en consecuencia su mayor vulnerabilidad contractual”.
Fue el Juzgado Civil y Comercial N° 19 de La Plata el que tuvo intervención en el caso, donde su juez, María Cecilia Tanco decidió admitir la demanda, condenando al pago de $11.737.109 más intereses y costas.
Lo novedoso del caso, radicó en la aplicación de la normativa consumeril solicitada por la actora, lo cual fue admitido por la magistrada pese a la negativa del banco y del dictamen fiscal.
Para llegar a esa solución, la jueza trajo a colación los requisitos que surgían de la doctrina y jurisprudencia, y entendió que, si bien “la cuenta bancaria resulta necesaria para la actora contribuyendo a su actividad societaria”, no integraba “el proceso productivo como insumo directo de otros bienes o servicios”.
Por lo tanto, no había “profesionalidad por parte de la sociedad accionante en el rubro en cuestión en tanto no tiene o debería tener un conocimiento especial de esa actividad bancaria, lo que configura en el caso la asimetría negocial en lo que a información se refiere y en consecuencia su mayor vulnerabilidad contractual”.
Siendo ese criterio objetivo concreto lo que en el caso permitía su aplicación, ya que de los antecedentes del debate legislativo de la ley 26361 que reformó la LDC, el legislador entendía que “la exclusión sea sólo respecto de los insumos directos destinados a ser integrados en otros procesos de producción”, tal como se consideró en el fallo “Artemis”.
En el caso, la empresa terminaba siendo “una consumidora financiera” que no difería de cualquier otro consumidor financiero que fuera persona física, ya que mediante una relación de consumo obtenía los bienes en una relación asimétrica en conocimiento y experiencia financiera.
La actora fue víctima de una ciberestafa donde se le instaló malware en su computadora que simuló la cuenta de homebanking y si bien este tipo de modalidad ya era advertida por el banco en su página web, el alerta no era una solución optima ante la falta de medidas defensivas dentro de la infraestructura crítica.
En cuanto al fondo del asunto, el perito indicó que cuando se realizaron las transferencias no se emitieron alertas de actividad sospechosa y el sistema permitió el envío de montos grandes a cuentas con las que nunca se interactuó en pocos minutos a través de envíos sucesivos, sin aplicar seguridad preventiva.
El sistema tampoco tenía medidas de seguridad para evitar que dos direcciones de IP se conecten al mismo tiempo a la cuenta, siendo una medida estándar para reducir los posibles ataques.
En cuanto a la computadora, el experto precisó que hubo un ingreso indebido y luego de realizar las operaciones se formateo el dispositivo eliminando toda la información y configuración del disco duro, lo que impedía saber el malware utilizado.
Las conclusiones de la pericia daban cuenta de que el actor fue víctima de una ciberestafa donde se le instaló malware en su computadora que simuló la cuenta de homebanking y, si bien este tipo de modalidad ya era advertida por el banco en su página web, el alerta no era una solución optima ante la falta de medidas defensivas dentro de la infraestructura crítica.
Atento a las conclusiones del perito y teniendo en cuenta el deber de seguridad que pesaba sobre el banco así como la normativa aplicable, entre ellas las comunicaciones A 5230, A 5195, A 6878, A 4609 y A 6017 que imponían obligaciones a la entidad, que no se encontraban cumplidas en su totalidad, es que el reclamo debía prosperar.
En este sentido, “la conducta imputada al usuario” por el lugar donde alojaba las claves (Google) no tenía conexión causal con el hecho dañoso sufrido, porque si bien pudo ser una condición, “la causa no es cualquier condición sino aquella que según el curso normal y ordinario de las cosas es idónea para producir el resultado”.
En el caso la causa era la “inadecuada seguridad en el sistema del banco”, por lo cual el hecho de la víctima no podía eximir de responsabilidad a la demandada.
En conclusión admitió la restitución de los fondos, más $3.000.000 por daño punitivo, todo ello más intereses a tasa pasiva.